Outlaw挖矿僵尸网络近期活动分析

主要观点总结

本文介绍了Outlaw挖矿僵尸网络的攻击事件，包括其传播方式、攻击流程、样本梳理与功能分析以及落地排查与清除方案。

关键观点总结

关键观点1: Outlaw挖矿僵尸网络的传播方式和攻击流程

该挖矿僵尸网络最早于2018年被发现，主要通过SSH暴力破解攻击目标系统，植入SSH公钥以实现长期控制目标系统的目的。其功能包括检测与清除RedTail挖矿僵尸网络相关的恶意行为、启动并管理名为kswapd00的挖矿程序、使用扫描和暴力破解工具对其他主机进行相应攻击等。

关键观点2: Outlaw挖矿僵尸网络的样本梳理与功能分析

对其样本及功能进行梳理，包括不同文件夹下的初始脚本、运行文件、停止文件等，并分析其功能，如检测挖矿程序、优化挖矿效率、执行后续脚本等。

关键观点3: Outlaw挖矿僵尸网络的落地排查与清除方案

提供识别Outlaw挖矿僵尸网络的方法，包括识别计划任务、删除相关文件、结束相关进程、删除SSH密钥等，并给出防护建议，如安装终端防护、加强SSH口令强度、及时更新补丁等。

文章预览

点击上方"蓝字" 关注我们吧！ 01  概述 近期， 安天CERT 监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。 经验证， 安天智甲终端防御系统 可实现对该挖矿僵尸网络的有效查杀 。 02  攻击流程 Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解，获取权限后下载最终载荷文件dota3.tar.gz，然后不落地执行tddw ………………………………